Facebook maakt ongevraagd je telefoonnummer bekend

Gebruikers hebben ontdekt dat iemand perfect opzoekbaar is op Facebook via zijn of haar telefoonnummer. Zelfs al heeft die persoon dat nummer enkel opgegeven voor beveiligingsfuncties.

Wie zijn account wil beveiligen, kan naast een wachtwoord ook een sms-bericht krijgen met een unieke code. Zo’n beveiliging heet tweestapsverificatie, two-factor authentication of kortweg 2FA. Facebook liet altijd uitschijnen dat dit nummer enkel werd gebruikt voor beveiligingsdoeleinden. Wie dus liever niet gevonden werd via zijn of haar nummer, kon wel zonder zorgen 2FA gebruiken. Dat blijkt nu een leugen.

Dat Facebook graag gebruikers identificeert op hun nummer is geen verrassing. Een telefoonnummer is immers een veel unieker identificatiegegeven dan pakweg een e-mailadres of je eigen naam. Maar Facebook heeft er wel over gelogen. Het bedrijf beloofde aanvankelijk dat een telefoonnummer dat werd gebruikt voor 2FA niet zou worden gebruikt voor andere doeleinden. Het bedrijf heeft dus telefoonnummers bemachtigd met veiligheid als excuus.

Het is niet de eerste keer dat Facebook wordt betrapt op privacyschending met telefoonnummers, of het misleiden van gebruikers. In september 2018 stelden onderzoekers vast dat het nummer dat je gebruikt voor 2FA ook kan gebruikt worden door adverteerders om zeer gericht te adverteren. Meer nog: als vrienden jouw nummer in hun telefoonboek hebben, en ze geven Facebook daar toegang toe, dan koppelt Facebook dat aan jouw profiel.

Bron: Data News

Fiscale overheidsdatabank schendt de privacywetgeving

Wie FisconetPlus, een databank van de FOD Financiën, wil gebruiken om fiscale regelgeving op te vragen, heeft daar sinds vorig jaar een Microsoft-account voor nodig. Aangezien daarbij verplicht persoonsgegevens moeten vrijgegeven worden, handelt de overheidsdienst in strijd met de GDPR. Dat concludeert de Gegevensbeschermingsautoriteit.

Precies een jaar geleden lanceerde de FOD Financiën een nieuwe versie van de databank met fiscale regelgeving. FisconetPlus kreeg een personaliseerde interface, waarbij gebruikers bijvoorbeeld hun favoriete publicaties kunnen opslaan of automatische waarschuwingen kunnen krijgen bij wijziging aan een bepaald domein van de fiscaliteit.

De keerzijde van de medaille: een verplichte authenticatiedrempel voor iedereen die openbare informatie wilde opvragen. Voorheen was de databank, die de enige officiële bron in België is die de fiscale en juridische informatie bevat in de verschillende landstalen, vrij toegankelijk. De nieuwe databank draait sinds vorig jaar op een sharepoint van Microsoft in de G-Cloud, waardoor iedereen plots verplicht moest inloggen met een e-mailadres van Microsoft.

De GBA heeft de inlogprocedure van de overheidsdienst nu getoetst aan de GDPR, de Europese privacywetgeving die sinds mei vorig jaar in voege is. “De creatie van deze Microsoft-account houdt duidelijk een verwerking van persoonsgegevens in. Bij de creatie van deze account dienen namelijk persoonsgegevens zoals emailadres, land, geboortedatum en telefoonnummer te worden verstrekt”, merkt de GBA op in een advies.

Het oordeel van de Gegevensbeschermingsautoriteit is dan ook niet mals. “Het verplicht maken door overheden van het gebruik van een Microsoft-account om toegang te krijgen tot een toepassing die enkel openbare informatie, en geen persoonsgegevens ontsluit, is in strijd met de GDPR.”

Bron: Data News

AVG en de Brexit: hoe zit het nu precies?

AVG en de Brexit
Voor organisaties die persoonsgegevens doorgeven aan partijen in het Verenigd Koninkrijk geldt dat zij dit in geval van een harde Brexit na 29 maart 2019 niet meer mogen doen zonder hiervoor bepaalde instrumenten te gebruiken waarmee passende waarborgen worden geboden. Bij het ontbreken van een adequaatheidsbesluit voor het VK is de snelste oplossing gebruik te maken van de standaardbepalingen van de Europese Commissie. De andere instrumenten moeten eerst worden goedgekeurd door de bevoegde nationale toezichthoudende autoriteit en de vraag is of dit nog vóór de Brexit kan worden geregeld. In deze blog bespreken we de mogelijkheden om ook na een harde Brexit persoonsgegevens te blijven uitwisselen met partners in het VK.

De situatie
Als er geen overeenstemming wordt bereikt over de relatie tussen de EU en het VK, wordt het VK op 30 maart 2019 om 0.00 uur een derde land. Het gevolg daarvan is dat organisaties niet meer zomaar persoonsgegevens mogen doorgeven aan partijen in het VK. Maar wat als uw organisatie haar servers in Londen heeft staan of een vestiging heeft in Manchester? De European Data Protection Board (EDPB) heeft op 12 februari 2019 uitleg gegeven over de doorgifte van persoonsgegevens in geval van een no-deal Brexit.

Adequaatheidsbesluit
De eenvoudigste oplossing zou zijn dat de Europese Commissie een zgn. adequaatheidsbesluit vaststelt voor het VK. Het VK wordt dan op de lijst van landen geplaatst met een passend beschermingsniveau waaraan persoonsgegevens mogen worden doorgegeven. Het ligt in de lijn der verwachtingen dat voor het VK op termijn een adequaatheidsbesluit wordt vastgesteld, echter dit zal op het moment van de Brexit waarschijnlijk nog niet het geval zijn. Organisaties zullen dus op zoek moeten naar andere instrumenten die de AVG biedt.

Standaardbepalingen voor gegevensbescherming
De snelste manier om de doorgifte van persoonsgegevens naar het VK te regelen is met behulp van door de Europese Commissie goedgekeurde standaardbepalingen. Dit zijn modelcontracten die aanvullende waarborgen bieden ten aanzien van persoonsgegevens. Deze standaardbepalingen mogen niet worden aangepast. Wel kunnen ze worden opgenomen in een overeenkomst en worden aangevuld, voor zover de aanvullingen niet in tegenspraak zijn met de inhoud van de standaardbepalingen.

Ad-hoc contractbepalingen
Als partijen wijzigingen aanbrengen in de standaardbepalingen van de Europese Commissie of eigen bepalingen willen vaststellen, moeten deze eerst worden goedgekeurd door de nationale toezichthoudende autoriteit na advies van de EDPB. Het zal enige tijd duren voordat een dergelijke goedkeuring is gegeven, waardoor ook dit instrument waarschijnlijk geen uitkomst zal bieden voor organisaties die hiermee nu nog zouden moeten beginnen.

Binding Corporate Rules
Internationale organisaties of multinationals die persoonsgegevens doorgeven aan vestigingen in het VK kunnen ‘binding corporate rules’ (bindende bedrijfsvoorschriften) vaststellen. Hiermee worden passende waarborgen geboden voor de bescherming van persoonsgegevens, waardoor binnen de groep van ondernemingen doorgifte van deze gegevens kan plaatsvinden. Bindende bedrijfsvoorschriften moeten worden goedgekeurd door de toezichthoudende autoriteit, na advies van de EDPB en bieden net als de ad-hoc contractbepalingen, geen snelle oplossing.

Gedragscodes of certificeringsmechanismen
Ook gedragscodes of certificeringsmechanismen kunnen passende waarborgen bieden voor de doorgifte van persoonsgegevens. Dit zijn echter nieuwe instrumenten binnen de AVG. De EDPB werkt aan richtsnoeren om meer uitleg te geven over de voorwaarden en procedures.

Afwijkingen voor specifieke situaties
Onder bepaalde omstandigheden is doorgifte van persoonsgegevens naar een derde land ook mogelijk als er geen passende waarborgen zijn. Denk hierbij bijvoorbeeld aan uitdrukkelijke instemming van de betrokkene of aan noodzakelijkheid in verband met het sluiten of uitvoeren van een overeenkomst. Zie voor de overige afwijkingen artikel 49 AVG.

Overgangsregeling?
De ICT sector in Nederland heeft de Autoriteit Persoonsgegevens om een overgangsregeling gevraagd om bedrijven meer tijd te gunnen om zich aan te passen aan de nieuwe situatie. Vooralsnog is geen reactie van de Autoriteit Persoonsgegevens bekend…

Bron: The Privacy Factory